Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tabulka MdE (Microsoft Defender for Endpoints) pro obecné události windows Pole nezpracovaných událostí jsou k dispozici jako součást sloupce AdditionalFields.
Atributy tabulky
| Vlastnost | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | AzureSentinelDSRE |
| Základní protokol | Ano |
| Transformace v čase příjmu dat | Ano |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| AccountSid (identifikátor účtu) | řetězec | Identifikátor zabezpečení (SID) účtu. |
| Další pole | dynamický | Další informace o entitě nebo události |
| Identifikátor kontejneru AppGuard | řetězec | Identifikátor virtualizovaného kontejneru použitého Applikací Application Guard k izolaci aktivity prohlížeče. |
| _FakturovanáVelikost | skutečný | Velikost záznamu v bajtech |
| Id zařízení | řetězec | Jedinečný identifikátor zařízení ve službě. |
| Název zařízení | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
| ID události | dlouhý | Obsahuje jedinečný identifikátor události. |
| Inicializování doményProcessAccountDomain | řetězec | Doména účtu, který spustil proces zodpovědný za událost. |
| Inicializování názvu účtu ProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zodpovědný za událost. |
| IniciaceProcessAccountObjectId | řetězec | ID objektu Azure AD uživatelského účtu, který spustil proces zodpovědný za událost. |
| IniciováníProcessAccountSid | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost. |
| Inicializování účtuProcessAccountUpn | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost. Ve službě Active Directory je UPN (hlavní název uživatele) ve formátu e-mailové adresy (například: john.doe@domain.com) |
| IniciováníProcessFolderPath | řetězec | Složka obsahující proces (soubor obrázku), která událost iniciovala. |
| Identifikátor procesu inicializace | dlouhý | ID procesu (PID) procesu, který událost inicioval. |
| IniciaceProcessLogonId | dlouhý | Identifikátor přihlašovací relace procesu, který událost inicioval. Tento identifikátor je jedinečný pouze na stejném počítači mezi restartováními. |
| ZahájeníProcesuMD5 | řetězec | MD5 hash procesu (obrazového souboru), který událost inicioval. |
| InicializaceProcessParentFileName | řetězec | Název nadřazeného procesu, který vyvolal proces zodpovědný za událost. |
| ZahájeníProcessParentId | dlouhý | ID procesu (PID) nadřazeného procesu, který vytvořil proces odpovědný za událost. |
| SpouštěníProcessSHA1 | řetězec | Hodnota hash SHA-1 procesu (souboru obrázku), která událost iniciovala. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud je _IsBillable false, příjem dat není účtován vašemu účtu Azure. |
| Lokální IP | řetězec | IP adresa přiřazená místnímu počítači používanému během komunikace. |
| Místní port | int (integer) | Port TCP na místním počítači, který se používá při komunikaci. |
| MachineGroup | řetězec | Skupina strojů stroje. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači. |
| ProcessCommandLine | řetězec | Příkazový řádek použitý k vytvoření nového procesu |
| Název vzdáleného zařízení | řetězec | Název zařízení, které provedlo vzdálenou operaci na ovlivněném počítači V závislosti na hlášené události může být tento název plně kvalifikovaným názvem domény (FQDN), názvem NetBIOS nebo názvem hostitele bez informací o doméně. |
| Vzdálená IP adresa (RemoteIP) | řetězec | IP adresa, ke které se připojuje. |
| RemotePort | int (integer) | Port TCP na vzdáleném zařízení, ke kterému se připojujete. |
| ReportId | dlouhý | Jedinečný identifikátor události. |
| SourceSystem | řetězec | Typ agenta, který událost zaznamenal. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| Identifikátor Nájemce | řetězec | ID pracovního prostoru služby Log Analytics |
| Čas generování | datetime | Datum a čas, kdy událost zaznamenal agent MDE na koncovém bodu. |
| Typ | řetězec | Název tabulky |